• IT & Datenschutz

Brexit: Es gibt nur eine denkbare Lösung für den Datenschutz

Der Brexit – Großbritanniens Abschied von der EU stellt Datenschützer vor große Aufgaben. Für den Transfer und die Verarbeitung sensibler Informationen gelten bald neue Regeln.

(Quelle: Matthias Voigt)

Stefan Latz ist Abteilungsleiter Datenschutz bei TÜV Hessen und blickt in dieser Funktion mit Sorge auf die aktuellen Entwicklungen rund um den Brexit. Zum Zeitpunkt des Gesprächs galt ein Austritt Großbritanniens aus der EU ohne Abkommen als realistischste Entwicklung. Im Interview schildert der Experte, welche Folgen dieses Szenario für den Austausch von sensiblen Informationen und personenbezogenen Daten mit britischen Unternehmen hat, wie europäische Organisationen darauf reagieren können – und wie politische Entscheidungen den Handlungsspielraum erweitern können.

 

Herr Latz, welche Datenschutz-Richtlinien gelten bis zum Austritt Großbritanniens aus der EU?

Stefan Latz: So lange Großbritannien zur EU zählt, gilt in allen Fragen zum Datenschutz die EU-DSGVO. Das betrifft den gesamten Austausch von Daten. Sei es aus Großbritannien auf das Festland oder umgekehrt.

 

Wie ist der Datenaustausch geregelt, wenn es zu einem Abkommen zwischen Großbritannien und der EU kommt?

Stefan Latz: Auch wenn es einen Vertrag gibt, dann muss darin eine weitere Anerkennung der EU-DSGVO enthalten sein. Ob das der Fall sein wird, weiß ich nicht. Um die weitere Entwicklung des Brexits vorherzusagen, bräuchte man eine Kristallkugel. Derzeit kann niemand seriöse Angaben machen, wie es weitergehen wird. Denn der Vertrag, den Theresa May ausgehandelt hat, wird ja selbst in der EU nicht vollständig akzeptiert. Und in Großbritannien wird dieses Abkommen noch kritischer gesehen. Dabei ist es bis heute der einzige Vertrag, der auf dem Tisch liegt.

 

Mittlerweile muss man leider davon ausgehen, dass Großbritannien die EU ohne Abkommen verlässt. Wie muss der Datentransfer in diesem Fall gestaltet werden?

Stefan Latz: Wenn man als Unternehmen vorausschauend handeln will, muss jeder Datentransfer vertraglich neu geregelt werden. Das ist auch die Empfehlung der britischen Datenschutzaufsicht ICO. Deshalb rät diese Behörde bereits seit Januar 2019 britischen Unternehmen, beim Datenaustausch mit Unternehmen und Organisationen in der EU auf Standardvertragsklauseln zu setzen. Das ist auch die einzig denkbare Lösung, um formaljuristisch eine unzulässige Datenübertragung oder Datenverarbeitung zu verhindern.

Eine weitere Alternative wäre ein Angemessenheitsbeschluss der EU, dann könnte man zumindest Auftragsverarbeitungsverträge nutzen. Aber einen solcher Beschluss fehlt derzeit – und er ist auch nicht in Sicht. So verfahren wie die gesamte politische Situation ist, kann ich mir auch nicht vorstellen, dass die EU kurzfristig einen Angemessenheitsbeschluss gemäß Artikel 45 der EU-DSGVO erlässt.

 

Wie gestaltet die EU-DSGVO den Umgang mit Drittländern?

Stefan Latz: Hier gilt das Marktstandortprinzip, aber das ist nichts datenschutzspezifisches. Dieses Prinzip ist ein Bestandteil in zahlreichen europäischen Verordnungen. Ein Beispiel: Wenn ein internationales Unternehmen innerhalb der Europäischen Union seine Produkte in den Verkehr bringen will, hat es sich zwingend an EU-Recht zu halten. Nichts anderes gilt für den Datenschutz, wenn britische Unternehmen in der EU ihre entsprechenden Dienstleistungen anbieten wollen. Sobald sie dafür Daten von europäischen Verbrauchern nutzen und verarbeiten wollen, müssen sie die Vorgaben der EU-DSGVO einhalten.

 

Wie würde Großbritannien zum sicheren Drittland?

Stefan Latz: Rein administrativ müsste es dafür zu einem einheitlichen Beschluss der EU-Mitgliedsstaaten kommen. Aber diese Prozesse sind langwierig. Das ist in dem kurzen Zeitraum bis Ende Oktober 2019 nicht zu schaffen. Denn diese Entscheidungen sind politisch und dauern ewig, selbst wenn es auf beiden Seiten eine ähnliche Datenschutzphilosophie gibt. Ein vergleichbares Verfahren mit Japan hat mehrere Jahre gedauert. Es wurde noch vor dem Inkrafttreten der EU-DSGVO begonnen, aber einen Angemessenheitsbeschluss gibt erst seit Januar 2019. Bis zu dieser Entscheidung wurde beim Datenaustausch mit japanischen Unternehmen und Organisationen auch auf Standardvertragsklausen zurückgegriffen.

Wobei Datenschutzverantwortliche darauf achten sollten, dass Standardvertragsklauseln ein Anhang der ehemaligen Datenschutzrichtline sind. Diese Richtlinie gilt aber nicht mehr, also auch nicht die verschiedenen Anhänge. Aber so lange die EU-Kommission keine neue Lösung vorlegt, lässt sie die Standardvertragsklauseln als Lösung weiterhin gelten. Operativ sind sie deshalb die einzige Möglichkeit, den Datenverkehr mit Drittstaaten zu regeln – auch wenn manche Anwälte das formaljuristisch anders sehen.

Einen Kommentar schreiben

* Pflichtfeld

Keine Kommentare